イベント相関とは「事前定義された時間枠内で発生する特定のイベントグループを検出(処理)するためにイベントのストリームが処理される手順」を意味します。
SECは「ファイル」「名前付きパイプ」「標準入力」から行を読み取り、入力イベントを認識するための「パターン(正規表現やPerlサブルーチンなど)」と照合し、構成ファイルのルールに従ってイベントを関連付けます。
出力生成は以下に対応しています。
・外部プログラム(snmptrapやmailなど)の実行
・ファイルへの書き込み
・TCPおよびUDPベースのサーバへのデータの送信
・プリコンパイルされたPerlサブルーチンの呼び出し など
SECの構成ファイルは「空行」「空白行」「コメント行」で区切られたルール定義で構成されています。
各ルール定義は「keyword = value」のように、1行に1つのキーワードと値で記述されます。
パターンとパターンタイプは「pattern」および「ptype」ルールフィールドで定義されます。
多くのパターンタイプは、パターンが一致する行数Nを定義します
SECコンテキストは「1つ以上の名前」「有効期間」「イベントストア」を持つメモリベースのエンティティです。
有効期限が切れる直前に実行されるコンテキストに対してアクションリストを設定できます。
アクションリストは「action」ルールフィールドで定義され、セミコロンで区切られたアクション定義で構成されます。
各アクション定義は、アクションタイプを指定するキーワードで始まります。
SECコンテキスト式とアクションリストには、グループ化とマスキングの目的で使用される括弧が含まれる場合があります。
SECはその構成を解析するときに、あいまいさが生じないように、コンテキスト式とアクションリストの括弧がバランスされているかどうかをチェックします。
参考元サイト
※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。
OSS×Cloud ACCESS RANKING